Вредоносная программа, написанная на основе исходных кодов почтового червя Email-Worm.Win32.Sober, однако в ней отсутствует функция распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки «праворадикального» толка.
Вредоносная программа, написанная на основе исходных кодов почтового червя Email-Worm.Win32.Sober, однако в ней отсутствует функция распространения своего тела в виде вложенных в письма файлов. Вместо этого, программа рассылает по электронной почте различные тексты и ссылки «праворадикального» толка.
Вирус представляет собой PE EXE-файл размером 53 КБ. Упакован UPX. Размер распакованного файла — около 185 КБ. Написана на языке Visual Basic. Вирус попадает на компьютеры при помощи почтового червя Sober.p, который содержит функцию загрузки файлов с нескольких интернет-сайтов.
Инсталляция
После запуска вирус копирует себя в директорию %WINDIR%\Help\Help под следующими именами:
csrss.exe services.exe smss.exe
Вирус регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\ CurrentVersion\Run] "SystemBoot"="%windir%\help\ help\services.exe"
Также изменяет ключ системного реестра:
[...\exefile\shell\open\command]
Это позволяет ему получать управление при каждом запуске любого исполняемого файла в зараженной системе.
Также червь создает несколько вспомогательных файлов в системе:
adcmmmmq.hjg fastso.ber gdfjgthv.cvq langeinf.lin sacri2.ggg sacri3.ggg sysonce.tst seppelmx.smx xcvfpokd.tqa
Вирус ищет адреса электронной почты в файлах со следующими расширениями:
abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dbx dhtm doc dsp dsw eml fdb frm hlp imb imh imh imm inbox ini jsp ldb ldif log mbx mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php phtm pl pmr pp ppt pst rtf shtml slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml
Найденные адреса электронной почты сохраняются в файлы с именами:
voner1.von voner2.von voner3.von
Вирус не собирает адреса, в которых имеются строки:
.dial. .kundenserver. .ppp. .qmail@ .sul.t- @arin @avp @ca. @example. @foo. @from. @gmetref @iana @ikarus. @kaspers @messagelab @nai. @panda @smtp. @sophos @www abuse announce antivir anyone anywhere bellcore. bitdefender clock -dav detection domain. emsisoft ewido. freeav free-av ftp. gold-certs google host. iana- iana@ icrosoft. ipt.aol law2 linux mailer-daemon mozilla mustermann@ nlpmail01. noreply nothing ntp- ntp. ntp@ reciver@ secure smtp- somebody someone spybot sql. subscribe t-dialin test@ time t-ipconnect user@ variabel verizon. viren virus whatever@ whoever@ winrar winzip you@ yourname
Вирус создает файл %system%\Spammer.ReadMe со следующим содержанием:
[ссылка] [ссылка] Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :) In diesem Sinne
Вирус рассылает по всем найденным адресам, относящимся к доменам at, ch, de, gmx и li письма с текстами на немецком языке.
По всем остальным адресам идет рассылка писем на английском языке.
В вирусе содержится несколько десятков различных вариантов текстов и ссылок для рассылки.
Прочее
Аналогично предыдущим вариантам червя Sober, данный вирус регулярно проверяет системное время, путем обращения к нескольким NTP-серверам. При наступлении 11 мая 2005 года или более поздней даты, он пытается загрузить произвольные файлы с нескольких интернет-ресурсов:
free.pages.at home.arcor.de home.pages.at people.freenet.de scifi.pages.at
Вирус пытается обнаружить в памяти и прекратить работу приложений, содержащих в названии следующие строки:
fxsob gcas gcip giantanti inetupd. microsoftanti hijack nod32kui nod32. sober s-t-i-n-g
И мы тоже не спим, чтобы держать вас в курсе всех угроз